Non siamo ciò che vogliamo apparire ma siamo ciò che facciamo. Traendo spunto da questo sintetico monito di estremo spessore e attualità, che Zygmut Bauman ha regalato alla nostra società – peraltro anticipando nell’88 un tragico fenomeno che con l’avvento dei social network si è ulteriormente diffuso su larga scala, ovvero l’idea di potersi rappresentare in modo differente dalla risultanza delle azioni effettivamente compiute (e non) – è opportuno riflettere sulla condizione attuale della Sicurezza (quella vera, con la S maiuscola).
E ciò che si vede all’orizzonte non sembra ancora rassicurante.
Tutti i principali attori si sono dati da fare, così come richiedono le normative sui sistemi di gestione, nell’analizzare il contesto, fino ad arrivare alla chiara comprensione che c’è quanto mai bisogno di competenza e consapevolezza convergente.
Anche nel recente Security Summit, tenutosi a Milano la scorsa settimana, il filo conduttore della 3 giorni organizzata dal Clusit (Associazione Italiana per la Sicurezza Informatica) e Astrea (Agenzia di comunicazione e marketing specializzata in eventi b2b) ha messo in luce come sia necessario lavorare sull’integrazione di aspetti tecnici, legali e gestionali.
Ci sono aree calde da affrontare: quelle dei pagamenti elettronici, con la nuova Payment Services Directive 2, della Sanità, che entra nel mondo digitale, della nuova Normativa sulla Privacy, tutta orientata alla security by design e by default e di Banca d’Italia, che spinge sull’acceleratore per i controlli, anche per la sicurezza delle informazioni e la continuità operativa, sono alcune tra le principali.
Buona ricognizione.
Buone anche le regole; ora sono sul tavolo.
Ed in qualche modo sono state anche declinate in best practices; certo, non per merito diffuso, ma grazie alla lungimiranza dell’area tecnica dell’ISO che ha messo a punto le fantastiche normative 27001 / 2.
Un ottimo punto di partenza per ragionare in dettaglio sulla Sicurezza Olistica. Poco importa che nascano con l’etichetta Sicurezza delle Informazioni.
Gli obiettivi di controllo dell’annex A sono adeguati per andare più giù, in dettaglio, anche in altre aree.
Diciamo anche che tutto ciò che al livello strategico c’era da fare, è stato fatto. L’attenzione converge nella direzione giusta.
Ora però bisogna scendere di qualche gradino, nell’area operativa.
E qui regna il buio pressoché totale.
Chi si occupa di questi temi conosce bene le grandi difficoltà ed i feroci conflitti che si generano tutti i giorni nelle organizzazioni per guidare questa macchina della sicurezza.
Fiammante, attraente ma costosa ed estremamente nervosa, a volte ingovernabile.
Ci dovremmo quindi accontentare del detto un colpo al cerchio e uno alla botte nella speranza che esca un buon vino?
Proviamo per un attimo a trarre spunto da ciò che ci ha insegnato il mercato dell’informatica.
I prodotti che hanno conquistato una posizione di leadership sul mercato, duratura nel tempo, sono anche quelli nati dall’idea di un framework unitario.
Magari inizialmente instabile, in alcuni casi incompleto, ma che nel corso del tempo è stato migliorato e ottimizzato, fino a raggiungere ottimi risultati.
Allo stesso modo ciò che manca in ambito di sicurezza è una metodologia pratica – non di alto livello, non linee guida talmente ampie, in modo che dentro ci possa andar bene veramente di tutto – capace di guidare gli utenti, quasi come in un widzard, nella raccolta degli input necessari e sfornare informazioni adeguatamente elaborate, utili, concrete.
In ambito di sicurezza delle informazioni ne sono stati prodotti alcuni veramente potenti, ma eccessivamente focalizzati solo sulla porzione tecnica della faccenda. In altri aspetti della sicurezza invece ne sono stati prodotti altri veramente troppo astratti per rispondere alle esigenze della vita quotidiana in azienda.
Certo, sarà un’operazione rischiosa per chi se ne prenderà l’onere.
E’ un’abitudine diffusa quella di giudicare ad alta voce le imperfezioni altrui senza proporre una soluzione alternativa, valida.
E ancor più diffusa è l’abitudine di girare la testa dall’altra parte, senza neanche ribattere, per salvaguardare il proprio orticello personale: massimo rendimento economico – fin quando le aziende, i professionisti, i cittadini ci cascano – con il minimo sforzo (quello che deriva dall’acquisizione di conoscenze e competenze necessarie per poter dire qualcosa al riguardo).
Ma va fatto!
Lo esige, prima ancora di qualsiasi condizione di salvaguardia economica per le organizzazioni che non vogliono incorrere in danni a volte fatali, il dovere morale di protezione di dipendenti e cittadini che, inconsapevoli, nel compimento delle più semplici operazioni quotidiane, si aggirano in un campo minato.